• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S12500X-AF & S12500-X & S9800系列以太网交换机 典型配置举例-Release 27xx系列-6W100

目录

44-镜像典型配置举例

本章节下载 44-镜像典型配置举例  (1.13 MB)

44-镜像典型配置举例

H3C S12500X-AF & S12500-X & S9800镜像典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W100-20190628

 

Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 



1 简介

本文介绍了端口镜像和流镜像的典型配置举例。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解镜像特性。

3 本地端口镜像典型配置举例

3.1  组网需求

图3-1所示,某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.0/24网段,市场部使用12.1.1.0/24网段。现要求通过配置本地端口镜像功能,使用数据监测设备对研发部和市场部访问Internet的流量以及两个部门之间互访的流量进行监控。

图3-1 本地端口镜像组网图

 

3.2  使用版本

本举例进行配置和验证所使用的版本,如表3-1所示。

表3-1 产品与软件版本适配关系

产品

软件版本

S12500X-AF系列交换机

S12500X-CMW710-R2712

S12500-X系列交换机

S12500X-CMW710-R2712

S9800系列交换机

S9800-CMW710-R2712

 

3.3  配置注意事项

·     本地镜像组需要配置源端口、目的端口才能生效。其中目的端口不能是现有镜像组的成员端口。

·     目的端口收到的报文包括复制自源端口的报文和来自其他端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其他用途。

3.4  配置步骤

# 配置FortyGigE3/0/1接口IP地址为10.1.1.1。

<DeviceA> system-view

[DeviceA] interface fortygige 3/0/1

[DeviceA-FortyGigE3/0/1] ip address 10.1.1.1 24

[DeviceA-FortyGigE3/0/1] quit

# 请参考以上方法配置图3-1中其他接口的IP地址,配置步骤这里省略。

# 创建本地镜像组。

[DeviceA] mirroring-group 1 local

# 将FortyGigE3/0/1和FortyGigE3/0/2配置为镜像源端口,对这两个端口接收的报文进行镜像。

[DeviceA] mirroring-group 1 mirroring-port fortygige 3/0/1 fortygige 3/0/2 inbound

# 将FortyGigE3/0/3配置为镜像目的端口。

[DeviceA] mirroring-group 1 monitor-port fortygige 3/0/3

# 关闭目的端口FortyGigE3/0/3上的生成树协议。

[DeviceA] interface fortygige 3/0/3

[DeviceA-FortyGigE3/0/3] undo stp enable

[DeviceA-FortyGigE3/0/3] quit

3.5  验证配置

# 在完成上述配置后,在DeviceA上显示镜像组1的配置信息。

[DeviceA] display mirroring-group 1

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        FortyGigE3/0/1  Inbound

        FortyGigE3/0/2  Inbound

    Monitor port: FortyGigE3/0/3

# 以研发部某台主机10.1.1.2通过ping方式访问56.56.56.6为例,进行镜像测试,数据监测设备的抓包数据如图3-2所示。

图3-2 Wireshark的抓包数据

 

以上抓包信息表明,配置的本地镜像功能生效,数据监测设备可以成功对需要监控的流量进行监控。

3.6  配置文件

#

 mirroring-group 1 local

#

interface FortyGigE3/0/1

 ip address 10.1.1.1 255.255.255.0

 mirroring-group 1 mirroring-port inbound

#

interface FortyGigE3/0/2

 ip address 12.1.1.1 255.255.255.0

 mirroring-group 1 mirroring-port inbound

#

interface FortyGigE3/0/3

 port link-mode bridge

 undo stp enable

 mirroring-group 1 monitor-port

#

interface FortyGigE3/0/4

 ip address 56.56.56.5 255.255.255.0

#

4 二层远程端口镜像典型配置举例

4.1  组网需求

图4-1所示,某公司内部各部门通过二层网络连接到核心设备Device A,各部门使用不同网段的IP地址,其中研发部使用10.1.1.0/24网段,市场部使用12.1.1.0/24网段。现要求通过配置二层远程端口镜像功能,使用数据监测设备对研发部发送的报文进行监控。

图4-1 二层远程端口镜像组网图

 

4.2  配置思路

·     为确保源设备与目的设备之间的镜像报文可以二层转发,中间设备连接到源设备和目的设备方向的端口上需允许远程镜像VLAN通过。

·     建议用户先配目的设备,再配中间设备,最后配源设备,以保证镜像流量的正常转发。

4.3  使用版本

本举例进行配置和验证所使用的版本,如表4-1所示。

表4-1 产品与软件版本适配关系

产品

软件版本

S12500X-AF系列交换机

S12500X-CMW710-R2712

S12500-X系列交换机

S12500X-CMW710-R2712

S9800系列交换机

S9800-CMW710-R2712

 

4.4  配置注意事项

配置远程端口镜像的目的设备和源设备时均需要注意:

·     配置远程镜像VLAN时:

¡     要求该VLAN为静态VLAN并预先创建。

¡     要求该VLAN不用做其他用途,仅用于远程镜像功能。

¡     要求该VLAN只能被一个远程源镜像组使用。

·     源设备和目的设备上的远程镜像组必须使用相同的远程镜像VLAN。

配置远程端口镜像的目的设备时需要注意:

·     目的端口不能是现有镜像组的成员端口。

·     目的端口不用做其他用途,仅用于端口镜像。

配置远程端口镜像的源设备时需要注意:

·     请不要将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。

·     请不要在出端口上配置下列功能:生成树协议、IGMP Snooping、静态ARP和MAC地址学习,否则会影响镜像功能的正常使用。

·     出端口不能是现有镜像组的成员端口。

·     一个镜像组内只能配置一个出端口。

·     源端口为三层接口时,只能通过配置出端口方式实现二层远程镜像。

4.5  配置步骤

1. Device A的配置(目的设备)

# 创建业务VLAN 2和VLAN 3。

<DeviceA> system-view

[DeviceA] vlan 2 to 3

# 创建VLAN 2接口和VLAN 3接口并配置IP地址作为相应VLAN的网关。

[DeviceA] interface Vlan-interface 2

[DeviceA-Vlan-interface2] ip address 10.1.1.1 24

[DeviceA-Vlan-interface2] quit

[DeviceA] interface Vlan-interface 3

[DeviceA-Vlan-interface3] ip address 12.1.1.1 24

[DeviceA-Vlan-interface3] quit

# 配置端口FortyGigE3/0/1的端口类型为Trunk端口,允许业务VLAN 2、VLAN 3和镜像VLAN 5的报文通过。

<DeviceA> system-view

[DeviceA] interface fortygige 3/0/1

[DeviceA-FortyGigE3/0/1] port link-type trunk

[DeviceA-FortyGigE3/0/1] port trunk permit vlan 2 3 5

[DeviceA-FortyGigE3/0/1] quit

# 配置端口FortyGigE3/0/2的端口类型为Trunk端口,允许业务VLAN 2和镜像VLAN 5的报文通过。

[DeviceA] interface fortygige 3/0/2

[DeviceA-FortyGigE3/0/2] port link-type trunk

[DeviceA-FortyGigE3/0/2] port trunk permit vlan 2 5

[DeviceA-FortyGigE3/0/2] quit

# 创建远程目的镜像组1。

[DeviceA] mirroring-group 1 remote-destination

# 创建VLAN 5作为远程镜像VLAN。

[DeviceA] vlan 5

[DeviceA-vlan5] quit

# 为远程目的镜像组1配置远程镜像VLAN为VLAN 5,及配置连接数据监测设备的端口FortyGigE3/0/3为目的端口。

[DeviceA] mirroring-group 1 remote-probe vlan 5

[DeviceA] mirroring-group 1 monitor-port fortygige 3/0/3

# 将镜像目的端口加入远程镜像VLAN。将镜像数据发送给监测设备时,不需要携带远程镜像VLAN的VLAN Tag,因此将该端口配置为Access端口。

[DeviceA] interface fortygige 3/0/3

[DeviceA-FortyGigE3/0/3] port access vlan 5

# 关闭目的端口FortyGigE3/0/3上的生成树协议。

[DeviceA-FortyGigE3/0/3] undo stp enable

[DeviceA-FortyGigE3/0/3] quit

2. Device B的配置(中间设备)

# 创建业务VLAN 2和VLAN 3。

<DeviceB> system-view

[DeviceB] vlan 2 to 3

# 创建VLAN 5作为远程镜像VLAN。

[DeviceB] vlan 5

[DeviceB-vlan5] quit

# 配置端口FortyGigE3/0/1的端口类型为Trunk端口,允许业务VLAN 2、VLAN 3和镜像VLAN 5的报文通过。

[DeviceB] interface fortygige 3/0/1

[DeviceB-FortyGigE3/0/1] port link-type trunk

[DeviceB-FortyGigE3/0/1] port trunk permit vlan 2 3 5

[DeviceB-FortyGigE3/0/1] quit

# 配置端口FortyGigE3/0/2的端口类型为Trunk端口,允许业务VLAN 2、VLAN 3和镜像VLAN 5的报文通过。

[DeviceB] interface fortygige 3/0/2

[DeviceB-FortyGigE3/0/2] port link-type trunk

[DeviceB-FortyGigE3/0/2] port trunk permit vlan 2 3 5

[DeviceB-FortyGigE3/0/2] quit

3. Device C的配置(源设备)

# 创建业务VLAN 2和VLAN 3。

<DeviceC> system-view

[DeviceC] vlan 2 to 3

# 将端口FortyGigE3/0/1加入VLAN 2。

[DeviceC] interface fortygige 3/0/1

[DeviceC-FortyGigE3/0/1] port access vlan 2

[DeviceC-FortyGigE3/0/1] quit

# 将端口FortyGigE3/0/2加入VLAN 3。

[DeviceC] interface fortygige 3/0/2

[DeviceC-FortyGigE3/0/2] port access vlan 3

[DeviceC-FortyGigE3/0/2] quit

# 创建远程源镜像组1。

[DeviceC] mirroring-group 1 remote-source

# 创建VLAN 5作为远程镜像VLAN。

[DeviceC] vlan 5

[DeviceC-vlan5] quit

# 配置远程源镜像组1的远程镜像VLAN为VLAN 5,源端口为FortyGigE3/0/1,出端口为FortyGigE3/0/3。

[DeviceC] mirroring-group 1 remote-probe vlan 5

[DeviceC] mirroring-group 1 mirroring-port fortygige 3/0/1 inbound

[DeviceC] mirroring-group 1 monitor-egress fortygige 3/0/3

# 配置端口FortyGigE3/0/3的端口类型为Trunk端口,允许业务VLAN 2、VLAN 3和镜像VLAN 5的报文通过。

[DeviceC] interface fortygige 3/0/3

[DeviceC-FortyGigE3/0/3] port link-type trunk

[DeviceC-FortyGigE3/0/3] port trunk permit vlan 2 3 5

[DeviceC-FortyGigE3/0/3] quit

# 关闭出端口FortyGigE3/0/3上的生成树协议、MAC地址学习功能。

[DeviceC-FortyGigE3/0/3] undo stp enable

[DeviceC-FortyGigE3/0/3] undo mac-address mac-learning enable

[DeviceC-FortyGigE3/0/3] quit

4. Device D的配置(源设备)

# 创建业务VLAN 2。

<DeviceD> system-view

[DeviceD] vlan 2

[DeviceD-vlan2] quit

# 将端口FortyGigE3/0/1加入VLAN 2。

[DeviceD] interface fortygige 3/0/1

[DeviceD-FortyGigE3/0/1] port access vlan 2

[DeviceD-FortyGigE3/0/1] quit

# 创建远程源镜像组1。

[DeviceD] mirroring-group 1 remote-source

# 创建VLAN 5作为远程镜像VLAN。

[DeviceD] vlan 5

[DeviceD-vlan5] quit

# 配置远程源镜像组1的远程镜像VLAN为VLAN 5,对源端口FortyGigE3/0/1入方向进行镜像,出端口为FortyGigE3/0/2。

[DeviceD] mirroring-group 1 remote-probe vlan 5

[DeviceD] mirroring-group 1 mirroring-port fortygige 3/0/1 inbound

[DeviceD] mirroring-group 1 monitor-egress fortygige 3/0/2

# 配置端口FortyGigE3/0/2的端口类型为Trunk端口,允许业务VLAN 2和镜像VLAN 5的报文通过。

[DeviceD] interface fortygige 3/0/2

[DeviceD-FortyGigE3/0/2] port link-type trunk

[DeviceD-FortyGigE3/0/2] port trunk permit vlan 2 5

# 关闭出端口FortyGigE3/0/2上的生成树协议、MAC地址学习功能。

[DeviceD-FortyGigE3/0/2] undo stp enable

[DeviceD-FortyGigE3/0/2] undo mac-address mac-learning enable

[DeviceD-FortyGigE3/0/2] quit

4.6  验证配置

# 在完成上述配置后,在DeviceC上显示镜像组1的配置信息。

[DeviceC] display mirroring-group 1

Mirroring group 1:

    Type: Remote source

    Status: Active

    Mirroring port:

        FortyGigE3/0/1  Inbound

    Monitor egress port: FortyGigE3/0/3

        Remote probe VLAN: 5

# 在DeviceA上显示镜像组1的配置信息。

[DeviceA] display mirroring-group 1

Mirroring group 1:

    Type: Remote destination

    Status: Active

    Monitor port: FortyGigE3/0/3

    Remote probe VLAN: 5

# 以研发部某台主机10.1.1.2通过ping方式访问市场部某台主机12.1.1.2为例,进行镜像测试,数据监测设备的抓包数据如图4-2所示。

图4-2 Wireshark的抓包数据

 

以上抓包信息表明,配置的二层远程端口镜像功能生效,数据监测设备可以成功对对研发部发送的报文进行监控。

4.7  配置文件

·     设备Device A:

#

 mirroring-group 1 remote-destination

 mirroring-group 1 remote-probe vlan 5

#

vlan 2 to 3

#

vlan 5

#

interface Vlan-interface2

 ip address 10.1.1.1 255.255.255.0

#

interface Vlan-interface3

 ip address 12.1.1.1 255.255.255.0

#

interface FortyGigE3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 3 5

#

interface FortyGigE3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 2 5

#

interface FortyGigE3/0/3

 port link-mode bridge

 port access vlan 5

 undo stp enable

 mirroring-group 1 monitor-port

#

·     设备Device B:

#

vlan 2 to 3

#

vlan 5

#

interface FortyGigE3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 3 5

#

interface FortyGigE3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 3 5

#

·     设备Device C:

#

 mirroring-group 1 remote-source

 mirroring-group 1 remote-probe vlan 5

#

vlan 2 to 3

#

vlan 5

#

interface FortyGigE3/0/1

 port link-mode bridge

 port access vlan 2

 mirroring-group 1 mirroring-port inbound

#

interface FortyGigE3/0/2

 port link-mode bridge

 port access vlan 3

#

interface FortyGigE3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 3 5

 mirroring-group 1 monitor-egress                                              

·     设备Device D:

#

 mirroring-group 1 remote-source

 mirroring-group 1 remote-probe vlan 5

#

vlan 2

#

vlan 5

#

interface FortyGigE3/0/1

 port link-mode bridge

 port access vlan 2

 mirroring-group 1 mirroring-port inbound

#

interface FortyGigE3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 2 5

 mirroring-group 1 monitor-egress

5 本地流镜像典型配置举例

5.1  组网需求

图5-1所示,某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.0/24网段,市场部使用12.1.1.0/24网段,公共服务器群使用14.1.1.0/24网段。现要求通过配置本地流镜像功能,使用数据监测设备对以下两种数据进行监控:

·     研发部主机访问Internet时发送的HTTP流量

·     在工作日的非工作时间段(工作时间段为8:30至18:00),市场部从公共服务器群接收到的报文

图5-1 本地流镜像组网示意图

 

5.2  配置思路

配置本地流镜像功能时,首先需要根据报文特点制定需要镜像报文的分类规则,然后,在设备上对以上分类的报文采用镜像到指定端口(连接数据监测设备的端口)的动作,即可以实现组网需求。

5.3  使用版本

本举例进行配置和验证所使用的版本,如表5-1所示。

表5-1 产品与软件版本适配关系

产品

软件版本

S12500X-AF系列交换机

S12500X-CMW710-R2712

S12500-X系列交换机

S12500X-CMW710-R2712

S9800系列交换机

S9800-CMW710-R2712

 

5.4  配置步骤

(1)     配置Device A的接口IP地址。

# 配置接口FortyGigE3/0/1的IP地址为35.35.35.5。

<DeviceA> system-view

[DeviceA] interface fortygige 3/0/1

[DeviceA-FortyGigE3/0/1] ip address 35.35.35.5 24

[DeviceA-FortyGigE3/0/1] quit

# 请参考以上方法配置图5-1中其他接口的IP地址,配置步骤这里省略。

(2)     定义对研发部上网流量进行镜像的QoS策略

# 创建ACL 3000,匹配研发部的上网流量。

[DeviceA] acl number 3000

[DeviceA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255

[DeviceA-acl-adv-3000] quit

# 创建流分类classifier_research,匹配ACL 3000。

[DeviceA] traffic classifier classifier_research

[DeviceA-classifier-classifier_research] if-match acl 3000

[DeviceA-classifier-classifier_research] quit

# 定义流行为behavior_research,动作为镜像至端口FortyGigE3/0/2。

[DeviceA] traffic behavior behavior_research

[DeviceA-behavior-behavior_research] mirror-to interface fortygige 3/0/2

[DeviceA-behavior-behavior_research] quit

# 定义策略policy_research,为类classifier_research指定流行为behavior_research。

[DeviceA] qos policy policy_research

[DeviceA-qospolicy-policy_research] classifier classifier_research behavior behavior_research

[DeviceA-qospolicy-policy_research] quit

(3)     定义对市场部主机从公共服务器获取的数据进行镜像的QoS策略

# 定义两个非工作时间段,分别为工作日的0:00至8:30和18:00至24:00,并分别命名为“off-work1”和“off-work2”。

[DeviceA] time-range off-work1 0:00 to 8:30 working-day

[DeviceA] time-range off-work2 18:00 to 24:00 working-day

# 创建ACL 3001,通过两条规则来匹配公共服务器在非工作时间段发往市场部主机的数据。

[DeviceA] acl number 3001

[DeviceA-acl-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work1

[DeviceA-acl-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work2

[DeviceA-acl-adv-3001] quit

# 创建流分类classifier_market,匹配ACL 3001。

[DeviceA] traffic classifier classifier_market

[DeviceA-classifier-classifier_market] if-match acl 3001

[DeviceA-classifier-classifier_market] quit

# 定义流行为behavior_market,动作为镜像至端口FortyGigE3/0/2。

[DeviceA] traffic behavior behavior_market

[DeviceA-behavior-behavior_market] mirror-to interface fortygige 3/0/2

[DeviceA-behavior-behavior_market] quit

# 定义策略policy_market,为类classifier_market指定流行为behavior_market。

[DeviceA] qos policy policy_market

[DeviceA-qospolicy-policy_market] classifier classifier_market behavior behavior_market

[DeviceA-qospolicy-policy_market] quit

(4)     应用QoS策略

# 将policy_research策略应用到FortyGigE3/0/1端口的入方向。

[DeviceA] interface fortygige 3/0/1

[DeviceA-FortyGigE3/0/1] qos apply policy policy_research inbound

[DeviceA-FortyGigE3/0/1] quit

# 将policy_market策略应用到FortyGigE3/0/3端口的入方向。

[DeviceA] interface fortygige 3/0/3

[DeviceA-FortyGigE3/0/3] qos apply policy policy_market inbound

[DeviceA-FortyGigE3/0/3] quit

5.5  验证配置

# 在完成上述配置后,在DeviceA上验证流镜像的配置信息。

[DeviceA] display qos policy interface

  Interface: FortyGigE3/0/1

  Direction: Inbound

  Policy: policy_research

   Classifier: classifier_research

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: behavior_research

      Mirroring:

        Mirror to the interface: FortyGigE3/0/2

 

  Interface: FortyGigE3/0/3

  Direction: Inbound

  Policy: policy_market

   Classifier: classifier_market

     Operator: AND

     Rule(s) :

      If-match acl 3001

     Behavior: behavior_market

      Mirroring:

        Mirror to the interface: FortyGigE3/0/2

# 以研发部某台主机10.1.1.2 通过Telnet方式访问46.46.46.4的80端口为例,进行镜像测试,数据监测设备的抓包数据如图5-2所示。

图5-2 HTTP流量的Wireshark抓包数据

 

以上抓包信息表明,数据监测设备可以成功对研发部主机访问Internet时发送的HTTP流量进行监控。

# 以市场部某台主机12.1.1.2在非工作时段通过ping方式访问服务器14.1.1.2为例,进行镜像测试,数据监测设备的抓包数据如图5-3所示。

图5-3 对服务器的Wireshark抓包数据

 

以上抓包信息表明,在工作日的非工作时间段(工作时间段为8:30至18:00),数据监测设备可以成功对市场部从公共服务器群接收到的报文进行监控。

5.6  配置文件

#

 time-range off-work1 00:00 to 08:30 working-day

 time-range off-work2 18:00 to 24:00 working-day

#

acl number 3000

 rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www

acl number 3001

 rule 0 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work1

 rule 5 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work2

#

traffic classifier classifier_research operator and

 if-match acl 3000

traffic classifier classifier_market operator and

 if-match acl 3001

#

traffic behavior behavior_research

 mirror-to interface FortyGigE3/0/2

traffic behavior behavior_market

 mirror-to interface FortyGigE3/0/2

#

qos policy policy_research

 classifier classifier_research behavior behavior_research

qos policy policy_market

 classifier classifier_market behavior behavior_market

#

interface FortyGigE3/0/1

 ip address 35.35.35.5 255.255.255.0

 qos apply policy policy_research inbound

#

interface FortyGigE3/0/3

 ip address 56.56.56.5 255.255.255.0

 qos apply policy policy_market inbound

#

6 三层远程流镜像典型配置举例

6.1  组网需求

图6-1所示,某公司研发部使用10.1.1.1/24网段,现要求通过配置远程流镜像功能,使用数据监测设备对研发部主机访问目的地址为100.1.1.1的Internet时发送的HTTP流量进行监控。

图6-1 远程流镜像组网示意图

 

6.2  配置思路

配置远程流镜像功能时,首先需要根据报文特点制定需要镜像报文的分类规则,然后,在设备上对以上分类的报文采用镜像到指定端口的动作,即可以实现组网需求。

6.3  使用版本

本举例进行配置和验证所使用的版本,如表6-1所示。

表6-1 产品与软件版本适配关系

产品

软件版本

S12500X-AF系列交换机

S12500X-CMW710-R2712

S12500-X系列交换机

S12500X-CMW710-R2712

S9800系列交换机

S9800-CMW710-R2712

 

6.4  配置注意事项

三层远程流镜像功能可以通过如下方式实现:

·     通过普通三层路由实现三层远程流镜像。

·     通过GRE封装方式实现三层远程流镜像。

本举例介绍通过GRE封装方式实现三层远程流镜像。

6.5  配置步骤

1. Device A的配置

# 配置接口FortyGigE1/0/2的IP地址为20.1.1.1。

<DeviceA> system-view

[DeviceA] interface fortygige 1/0/2

[DeviceA-FortyGigE1/0/2] port link-mode route

[DeviceA-FortyGigE1/0/2] ip address 20.1.1.1 24

[DeviceA-FortyGigE1/0/2] quit

# 请参考以上方法配置设备其他接口的IP地址,配置步骤这里省略。

# 创建业务环回组1,并指定其业务类型为tunnel。

[DeviceA] service-loopback group 1 type tunnel

# 将端口FortyGigE1/0/3加入到业务环回组1。

[DeviceA] interface fortygige 1/0/3

[DeviceA-FortyGigE1/0/3] port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceA-FortyGigE1/0/3] quit

# 创建GRE模式的Tunnel接口0,并为其配置IP地址和掩码。

[DeviceA] interface tunnel 0 mode gre

[DeviceA-Tunnel0] ip address 50.1.1.1 24

# 为Tunnel接口0分别指定源地址和目的地址。

[DeviceA-Tunnel0] source 20.1.1.1

[DeviceA-Tunnel0] destination 30.1.1.2

[DeviceA-Tunnel0] quit

# 配置OSPF协议。

[DeviceA] ospf 1

[DeviceA-ospf-1] area 0

[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] network 100.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] quit

[DeviceA-ospf-1] quit

# 创建ACL 3000,匹配研发部的上网流量。

[DeviceA] acl number 3000

[DeviceA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255

[DeviceA-acl-adv-3000] quit

# 创建流分类classifier_research,匹配ACL 3000。

[DeviceA] traffic classifier classifier_research

[DeviceA-classifier-classifier_research] if-match acl 3000

[DeviceA-classifier-classifier_research] quit

# 定义流行为behavior_research,动作为镜像至端口FortyGigE1/0/3,并将流镜像到该接口的报文进行环回处理。

[DeviceA] traffic behavior behavior_research

[DeviceA-behavior-behavior_research] mirror-to interface fortygige 1/0/3 loopback

[DeviceA-behavior-behavior_research] quit

# 定义策略policy_research,为类classifier_research指定流行为behavior_research。

[DeviceA] qos policy policy_research

[DeviceA-qospolicy-policy_research] classifier classifier_research behavior behavior_research

[DeviceA-qospolicy-policy_research] quit

# 将policy_research策略应用到FortyGigE1/0/1端口的入方向。

[DeviceA] interface fortygige 1/0/1

[DeviceA-FortyGigE1/0/1] qos apply policy policy_research inbound

[DeviceA-FortyGigE1/0/1] quit

# 创建流分类classifier_redirect,匹配所有流量报文。

[DeviceA] traffic classifier classifier_redirect

[DeviceA-classifier-classifier_redirect] if-match any

[DeviceA-classifier-classifier_redirect] quit

# 定义流行为behavior_redirect,动作为镜像至端口Tunnel0。

[DeviceA] traffic behavior behavior_redirect

[DeviceA-behavior-behavior_redirect] redirect interface Tunnel0

[DeviceA-behavior-behavior_redirect] quit

# 定义策略policy_redirect,为类classifier_redirect指定流行为behavior_redirect。

[DeviceA] qos policy policy_redirect

[DeviceA-qospolicy-policy_redirect] classifier classifier_redirect behavior behavior_redirect

[DeviceA-qospolicy-policy_redirect] quit

# 将policy_redirect策略应用到FortyGigE1/0/3端口的入方向。

[DeviceA] interface fortygige 1/0/3

[DeviceA-FortyGigE1/0/3] qos apply policy policy_redirect inbound

[DeviceA-FortyGigE1/0/3] quit

2. 配置Device B

# 配置OSPF协议。

<DeviceB> system-view

[DeviceB] ospf 1

[DeviceB-ospf-1] area 0

[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] quit

[DeviceB-ospf-1] quit

3. 配置Device C

# 创建业务环回组1,并指定其业务类型为tunnel。

<DeviceC> system-view

[DeviceC] service-loopback group 1 type tunnel

# 将端口FortyGigE1/0/3加入到业务环回组1。

[DeviceC] interface fortygige 1/0/3

[DeviceC-FortyGigE1/0/3] port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceC-FortyGigE1/0/3] quit

# 创建GRE模式的Tunnel接口0,并为其配置IP地址和掩码。

[DeviceC] interface tunnel 0 mode gre

[DeviceC-Tunnel0] ip address 50.1.1.2 24

# 为Tunnel接口0分别指定源地址和目的地址。

[DeviceC-Tunnel0] source 30.1.1.2

[DeviceC-Tunnel0] destination 20.1.1.1

[DeviceC-Tunnel0] quit

# 配置OSPF协议。

[DeviceC] ospf 1

[DeviceC-ospf-1] area 0

[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] quit

[DeviceC-ospf-1] quit

# 在DeviceC配置静态ARP表项,强制将IP地址为100.1.1.1对应的MAC地址解析为FortyGigE1/0/2的MAC地址00e0-fc58-1238,以保证DeviceC收到目的地址为100.1.1.1的镜像报文后,直接转发到FortyGigE1/0/2。

[DeviceC] arp static 100.1.1.1 00e0-fc58-1238

6.6  验证配置

# 在完成上述配置后,在DeviceA上验证流镜像的配置信息。

[DeviceA] display qos policy interface

Interface: FortyGigE1/0/1

  Direction: Inbound

  Policy: policy_research

   Classifier: classifier_research

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: behavior_research

      Mirroring:

        Mirror to the interface: FortyGigE1/0/3

 

Interface: FortyGigE1/0/3

  Direction: Inbound

  Policy: policy_redirect

   Classifier: classifier_redirect

     Operator: AND

     Rule(s) :

      If-match any

     Behavior: behavior_redirect

      Redirecting:

        Redirect to interface Tunnel0

6.7  配置文件

·     设备Device A:

#

 service-loopback group 1 type tunnel

#

ospf 1

 area 0.0.0.0

  network 10.1.1.0 0.0.0.255

  network 20.1.1.0 0.0.0.255

  network 100.1.1.0 0.0.0.255

#

traffic classifier classifier_redirect operator and

 if-match any

#

traffic classifier classifier_research operator and

 if-match acl 3000

#

traffic behavior behavior_redirect

 redirect interface Tunnel0

#

traffic behavior behavior_research

 mirror-to interface FortyGigE1/0/3 loopback

#

qos policy policy_redirect

 classifier classifier_redirect behavior behavior_redirect

#

qos policy policy_research

 classifier classifier_research behavior behavior_research

#

interface FortyGigE1/0/2

 port link-mode route

 ip address 20.1.1.1 255.255.255.0

 qos apply policy policy_redirect inbound

#

interface FortyGigE1/0/1

 port link-mode bridge

 qos apply policy policy_research inbound

#

interface FortyGigE1/0/3

 port link-mode bridge

 port service-loopback group 1

#

interface Tunnel0 mode gre

 ip address 50.1.1.1 255.255.255.0

 source 20.1.1.1

 destination 30.1.1.2

#

acl number 3000

 rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www

#

·     设备Device B:

#

ospf 1

 area 0.0.0.0

  network 20.1.1.0 0.0.0.255

  network 30.1.1.0 0.0.0.255

#

设备Device C:

#

 service-loopback group 1 type tunnel

#

ospf 1

 area 0.0.0.0

  network 30.1.1.0 0.0.0.255

  network 40.1.1.0 0.0.0.255

#

interface FortyGigE1/0/3

 port link-mode bridge

 port service-loopback group 1

#

interface Tunnel0 mode gre

 ip address 50.1.1.2 255.255.255.0

 source 30.1.1.2

 destination 20.1.1.1

#

 arp static 100.1.1.1 00e0-fc58-1238

#

7 灵活控制监测数据典型配置举例

7.1  组网需求

图7-1所示,某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.0/24网段,市场部使用12.1.1.0/24网段,公共服务器使用14.1.1.0/24网段。现要求通过配置流镜像,使用数据监测设备对网络中的流量进行监测,以达到如下需求:

·     通过Device A上连接的监测设备收集公共服务器群发给各客户端的所有数据,由于文件服务器提供的服务数据较多,因此仅在工作日的非工作时间进行监测(工作时间为8:30至18:00)。

·     通过Device A上连接的监测设备收集市场部主机上网时发送的数据,但对于经理办公室的主机发送的内容不作收集。

·     通过Device B上连接的数据监测设备监控由研发部工作站向外发送的所有报文,对于研发对外服务器发送的报文,仅在工作日的非工作时间进行监测。

图7-1 灵活控制镜像的输出内容组网示意图

 

7.2  配置思路

为了过滤同一类数据源中特定源的数据,可以使用镜像和包过滤功能进行配合,或者通过QoS策略的配置技巧,使特定源的数据不作镜像或是不输出到数据监测设备。目前可以采取以下三种方式来进行配置:

·     对特定源数据首先采用filter permit动作,并先于镜像动作进行配置,使特定源数据不作镜像。

·     在镜像数据的出端口采用filter deny动作的QoS策略,过滤掉特定源数据,使其不被监测设备接收。

·     在镜像数据的出端口上使用packet-filter命令,过滤掉特定源数据,使其不被监测设备接收。

7.3  使用版本

本举例进行配置和验证所使用的版本,如表7-1所示。

表7-1 产品与软件版本适配关系

产品

软件版本

S12500X-AF系列交换机

S12500X-CMW710-R2712

S12500-X系列交换机

S12500X-CMW710-R2712

S9800系列交换机

S9800-CMW710-R2712

 

7.4  配置步骤

1. Device A的配置

(1)     配置Device A对于公共服务器发送的数据进行镜像

¡     创建并应用对公共服务器发送的所有数据进行镜像的QoS策略

# 创建ACL 2000,匹配公共服务器网段(14.1.1.0/24)发送的所有数据。

<DeviceA> system-view

[DeviceA] acl number 2000

[DeviceA-acl-basic-2000] rule permit source 14.1.1.0 0.0.0.255

[DeviceA-acl-basic-2000] quit

# 创建流分类classifier_servers匹配ACL 2000。

[DeviceA] traffic classifier classifier_servers

[DeviceA-classifier-classifier_servers] if-match acl 2000

[DeviceA-classifier-classifier_servers] quit

# 定义流行为behavior_servers,动作为镜像至端口FortyGigE3/0/3。

[DeviceA] traffic behavior behavior_servers

[DeviceA-behavior-behavior_servers] mirror-to interface fortygige 3/0/3

[DeviceA-behavior-behavior_servers] quit

# 定义策略policy_servers,为类classifier_servers指定流行为behavior_servers。

[DeviceA] qos policy policy_servers

[DeviceA-qospolicy-policy_servers] classifier classifier_servers behavior behavior_servers

[DeviceA-qospolicy-policy_servers] quit

# 将策略policy_servers应用到FortyGigE3/0/4端口的入方向

[DeviceA] interface fortygige 3/0/4

[DeviceA-FortyGigE3/0/4] qos apply policy policy_servers inbound

[DeviceA-FortyGigE3/0/4] quit

¡     通过QoS策略过滤文件服务器在工作时间发送的数据

# 定义一个ACL生效时间段,为工作日的8:30至18:00,并命名为“work-time”。

[DeviceA] time-range work-time 8:30 to 18:00 working-day

# 创建ACL 2001,创建规则来匹配文件服务器(14.1.1.10)在工作时间段发送的数据。

[DeviceA] acl number 2001

[DeviceA-acl-basic-2001] rule permit source 14.1.1.10 0.0.0.0 time-range work-time

[DeviceA-acl-basic-2001] quit

# 创建流分类classifier_fileserver,匹配ACL 2001。

[DeviceA] traffic classifier classifier_fileserver

[DeviceA-classifier-classifier_fileserver] if-match acl 2001

[DeviceA-classifier-classifier_fileserver] quit

# 定义流行为behavior_fileserver,动作为拒绝通过。

[DeviceA] traffic behavior behavior_fileserver

[DeviceA-behavior-behavior_fileserver] filter deny

[DeviceA-behavior-behavior_fileserver] quit

# 定义策略policy_fileserver,为类classifier_fileserver指定流行为behavior_fileserver。

[DeviceA] qos policy policy_fileserver

[DeviceA-qospolicy-policy_fileserver] classifier classifier_fileserver behavior behavior_fileserver

[DeviceA-qospolicy-policy_fileserver] quit

# 将策略policy_fileserver应用到FortyGigE3/0/3端口的出方向

[DeviceA] interface fortygige 3/0/3

[DeviceA-FortyGigE3/0/3] qos apply policy policy_fileserver outbound

[DeviceA-FortyGigE3/0/3] quit

(2)     配置Device A对市场部的上网报文进行镜像

¡     创建对市场部所有上网报文进行镜像的流分类和流行为

# 创建ACL 3000,匹配市场部所在网段(12.1.1.0/24)的上网流量。

[DeviceA] acl number 3000

[DeviceA-acl-adv-3000] rule permit tcp destination-port eq 80 source 12.1.1.0 0.0.0.255

[DeviceA-acl-adv-3000] quit

# 创建流分类classifier_market,匹配ACL 3000。

[DeviceA] traffic classifier classifier_market

[DeviceA-classifier-classifier_market] if-match acl 3000

[DeviceA-classifier-classifier_market] quit

# 定义流行为behavior_market,动作为镜像至端口FortyGigE3/0/3。

[DeviceA] traffic behavior behavior_market

[DeviceA-behavior-behavior_market] mirror-to interface fortygige 3/0/3

[DeviceA-behavior-behavior_market] quit

¡     创建对市场部经理办公室主机的上网报文采取允许通过动作的流分类和流行为

# 创建ACL 3001,匹配市场部经理办公室的主机(12.1.1.100)的上网流量。

[DeviceA] acl number 3001

[DeviceA-acl-adv-3001] rule permit tcp destination-port eq 80 source 12.1.1.100 0.0.0.0

[DeviceA-acl-adv-3001] quit

# 创建流分类classifier_market_mgr,匹配ACL 3001。

[DeviceA] traffic classifier classifier_market_mgr

[DeviceA-classifier-classifier_market_mgr] if-match acl 3001

[DeviceA-classifier-classifier_market_mgr] quit

# 定义流行为behavior_market_mgr,动作为允许通过。

[DeviceA] traffic behavior behavior_market_mgr

[DeviceA-behavior-behavior_market_mgr] filter permit

[DeviceA-behavior-behavior_market_mgr] quit

¡     创建QoS策略,将两组流分类和流行为分别进行关联

# 定义策略policy_market。

[DeviceA] qos policy policy_market

# 首先将为经理办公室主机配置的流分类和流行为进行关联。

[DeviceA-qospolicy-policy_market] classifier classifier_market_mgr behavior behavior_market_mgr

# 然后将对市场部上网报文进行镜像的流分类和流行为进行关联。

[DeviceA-qospolicy-policy_market] classifier classifier_market behavior behavior_market

# 显示当前策略下的流分类和流行为的配置顺序。

[DeviceA-qospolicy-policy_market] display this

#

qos policy policy_market

 classifier classifier_market_mgr behavior behavior_market_mgr

 classifier classifier_market behavior behavior_market

#

return

[DeviceA-qospolicy-policy_market] quit

可以看到,对于经理办公室主机的流分类和流行为会先下发,因此该主机发送的上网报文将不会再执行镜像动作。

¡     应用QoS策略

# 将策略policy_market应用到FortyGigE3/0/2端口的入方向

[DeviceA] interface fortygige 3/0/2

[DeviceA-FortyGigE3/0/2] qos apply policy policy_market inbound

[DeviceA-FortyGigE3/0/2] quit

2. Device B的配置(对研发部发送的数据进行镜像)

·     在Device B上配置本地镜像

# 创建本地镜像组。

<DeviceB> system-view

[DeviceB] mirroring-group 1 local

# 将FortyGigE3/0/1配置为镜像源端口,对这个端口接收的报文进行镜像。

[DeviceB] mirroring-group 1 mirroring-port fortygige 3/0/1 inbound

# 将FortyGigE3/0/2配置为镜像目的端口。

[DeviceB] mirroring-group 1 monitor-port fortygige 3/0/2

·     通过packet-filter功能过滤研发对外服务器在工作时间发送的数据

# 定义一个ACL生效时间段,为工作日的8:30至18:00,并命名为“work-time”。

[DeviceB] time-range work-time 8:30 to 18:00 working-day

# 创建ACL 2000,创建规则来匹配研发对外服务器(10.1.1.2)在工作时间段发送的数据。

[DeviceB] acl number 2000

[DeviceB-acl-basic-2000] rule deny source 10.1.1.2 0.0.0.0 time-range work-time

[DeviceB-acl-basic-2000] quit

# 在FortyGigE3/0/2的出方向使用packet-filter功能,对匹配ACL 2000的报文进行过滤。

[DeviceB] interface fortygige3/0/2

[DeviceB-FortyGigE3/0/2] packet-filter 2000 outbound

[DeviceB-FortyGigE3/0/2] quit

7.5  验证配置

# 在完成上述配置后,在DeviceA上验证流镜像的配置信息。

[DeviceA] display qos policy interface

Interface: FortyGigE3/0/2

  Direction: Inbound

  Policy: policy_market

   Classifier: classifier_market_mgr

     Operator: AND

     Rule(s) : If-match acl 3001

     Behavior: behavior_market_mgr

      Filter enable: Permit

   Classifier: classifier_market

     Operator: AND

     Rule(s) : If-match acl 3000

     Behavior: behavior_market

      Mirroring:

        Mirror to the interface: FortyGigE3/0/3

 

Interface: FortyGigE3/0/3

  Direction: Outbound

  Policy: policy_fileserver

   Classifier: classifier_fileserver

     Operator: AND

     Rule(s) : If-match acl 2001

     Behavior: behavior_fileserver

      Mirroring:

        Mirror to the interface: FortyGigE3/0/3

 

Interface: FortyGigE3/0/4

  Direction: Inbound

  Policy: policy_servers

   Classifier: classifier_servers

     Operator: AND

     Rule(s) : If-match acl 2000

     Behavior: behavior_servers

      Mirroring:

        Mirror to the interface: FortyGigE3/0/3

# 在DeviceB上验证镜像组1的配置信息。

[DeviceB] display mirroring-group 1

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        FortyGigE3/0/1  Inbound

Monitor port: FortyGigE3/0/2

# 以市场部上网流量为例,进行抓包分析:分别使用市场部某台主机12.1.1.2和经理办公室的主机12.1.1.100 通过Telnet方式访问57.57.57.7的80端口进行镜像测试,数据监控设备的抓包数据如图7-2所示。

图7-2 HTTP流量的Wireshark抓包数据

 

以上抓包信息表明,可以实现通过Device A上连接的监测设备收集市场部主机上网时发送的数据,但对于经理办公室的主机发送的内容不作收集。

7.6  配置文件

·     设备Device A:

#

 time-range work-time 08:30 to 18:00 working-day

#

acl number 2000

 rule 0 permit source 14.1.1.0 0.0.0.255

acl number 2001

 rule 0 permit source 14.1.1.10 0 time-range work-time

#

acl number 3000

 rule 0 permit tcp source 12.1.1.0 0.0.0.255 destination-port eq www

acl number 3001

 rule 0 permit tcp source 12.1.1.100 0 destination-port eq www

#

traffic classifier classifier_servers operator and

 if-match acl 2000

traffic classifier classifier_fileserver operator and

 if-match acl 2001

traffic classifier classifier_market operator and

 if-match acl 3000

traffic classifier classifier_market_mgr operator and

 if-match acl 3001

#

traffic behavior behavior_servers

 mirror-to interface FortyGigE3/0/3

traffic behavior behavior_fileserver

 filter deny

traffic behavior behavior_market

 mirror-to interface FortyGigE3/0/3

traffic behavior behavior_market_mgr

 filter permit

#

qos policy policy_fileserver

 classifier classifier_fileserver behavior behavior_fileserver

qos policy policy_market

 classifier classifier_market_mgr behavior behavior_market_mgr

 classifier classifier_market behavior behavior_market

qos policy policy_servers

 classifier classifier_servers behavior behavior_servers

#

interface FortyGigE3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 2

#

interface FortyGigE3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 3

 qos apply policy policy_market inbound

#

interface FortyGigE3/0/3

 port link-mode bridge

 qos apply policy policy_fileserver outbound

#

interface FortyGigE3/0/4

 ip address 57.57.57.5 255.255.255.0

 qos apply policy policy_servers inbound

#

·     设备Device B:

#

 mirroring-group 1 local

#

 time-range work-time 08:30 to 18:00 working-day

#

acl number 2000

 rule 0 deny source 10.1.1.2 0 time-range work-time

#

interface FortyGigE3/0/1

 port link-mode bridge

 port access vlan 2

 mirroring-group 1 mirroring-port inbound

#

interface FortyGigE3/0/2

 port link-mode bridge

 packet-filter 2000 outbound

 mirroring-group 1 monitor-port

#

8 相关资料

·     H3C S12500X-AF & S12500-X & S9800系列交换机 网络管理和监控配置指导(R27xx)

·     H3C S12500X-AF & S12500-X & S9800系列交换机 网络管理和监控命令参考(R27xx)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们